簡(jiǎn)介

由于受瀏覽器的同源策略（same-origin policy）的影響， Ajax 請(qǐng)求默認(rèn)只能在同一域名下進(jìn)行訪問(wèn)。

同源策略是瀏覽器安全的基石，所有的瀏覽器都實(shí)行了這個(gè)策略。

同源策略

同源策略是指三個(gè)相同：

• 協(xié)議相同（比如，都是 http）
• 域名相同（比如，都是 www.example.com）
• 端口相同（比如，都是 80 端口）

同源政策的目的，是為了保證用戶(hù)信息的安全，防止惡意的網(wǎng)站竊取用戶(hù)的數(shù)據(jù)。

如果非同源，共有三種行為受到限制：

• Cookie、LocalStorage 和 IndexDB 無(wú)法讀取
• DOM 無(wú)法獲得
• AJAX 請(qǐng)求不能發(fā)送

下面，我們只講述 AJAX 請(qǐng)求如何規(guī)避同源策略的影響。

Ajax 的跨域場(chǎng)景描述

這里，我先描述一下 Ajax 的跨域場(chǎng)景。

在網(wǎng)站 http://apidemo.test ，有一個(gè) API 接口，http://apidemo.test/api/test 。 它的路由為：

Route::get('test', function(){
    return response()->json(['id'=>1, 'name'=>'test']);
});

在本網(wǎng)站的某個(gè)頁(yè)面，也就是同源的情況下，執(zhí)行的 Ajax 請(qǐng)求為：

$.get('http://apidemo.test/api/test', function(data){ console.log(data) });

可以得到正確的 json 響應(yīng)：

{id: 1, name: "test"}

但是，現(xiàn)在如果要從另外一個(gè)網(wǎng)站（http://adm.test）的某個(gè)頁(yè)面（ http://adm.test/demo ），發(fā)送 Ajax 請(qǐng)求到 http://apidemo.test/api/test

$.get('http://apidemo.test/api/test', function(data){ console.log(data) });

就屬于 Ajax 的跨域問(wèn)題，由于不同源，所以會(huì)報(bào)錯(cuò)：

Failed to load http://apidemo.test/api/test: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://adm.test' is therefore not allowed access.

實(shí)現(xiàn) Ajax 的跨域訪問(wèn)

同源政策規(guī)定，AJAX 請(qǐng)求只能發(fā)給同源的網(wǎng)址，否則就報(bào)錯(cuò)。

除了架設(shè)服務(wù)器代理（瀏覽器請(qǐng)求同源服務(wù)器，再由后者請(qǐng)求外部服務(wù)），還有三種方法規(guī)避這個(gè)限制。

• WebSocket
• JSONP
• CORS

WebSocket

WebSocket 是一種通信協(xié)議，使用 ws://（非加密）和 wss://（加密）作為協(xié)議前綴。該協(xié)議不實(shí)行同源政策，只要服務(wù)器支持 WebSocket ，就可以通過(guò)它進(jìn)行跨源通信。

由于 WebSocket 很少用到，故這里不作講述。感興趣的可自行參考：http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

JSONP

JSONP 是服務(wù)器與客戶(hù)端跨源通信的常用方法。最大特點(diǎn)就是簡(jiǎn)單適用，老式瀏覽器全部支持，服務(wù)器改造非常小。

JSONP （JSON with Padding）是 JSON 的一種“使用模式”，可用于解決瀏覽器的跨域數(shù)據(jù)訪問(wèn)的問(wèn)題。

JSONP 的基本思想是：

• 服務(wù)器端返回的數(shù)據(jù)格式是一段可在客戶(hù)端執(zhí)行的 javascript 代碼，形如：callback_name(json_data)
• 客戶(hù)端獲取該 jsonp 數(shù)據(jù)，并自動(dòng)執(zhí)行回調(diào)函數(shù)。

這種使用模式就是所謂的 JSONP。用 JSONP 抓到的數(shù)據(jù)并不是 JSON，而是任意的 JavaScript。

首先，我們修改服務(wù)器端 http://apidemo.test/api/test 返回的數(shù)據(jù)內(nèi)容：

Route::get('test', function(){
    $callback = $_REQUEST['callback'];  // 獲取回調(diào)函數(shù)名
    $json_data = json_encode(['id'=>1, 'name'=>'test']);
    return $callback . "(" . $json_data . ")";  // 輸出 jsonp 格式的數(shù)據(jù)
});

然后，修改客戶(hù)端 http://adm.test/demo 的代碼：

<script>
    function foo(data) {
        console.log(data);
    };
</script>
<script type="text/javascript" src="http://apidemo.test/api/test?callback=foo"></script>

這樣，就實(shí)現(xiàn)了 Ajax 的跨域訪問(wèn)。

客戶(hù)端的代碼，還可以這樣寫(xiě)：

<script>
    $.ajax({
        url:'http://apidemo.test/api/test', 
        dataType:'jsonp',
        success:function(data){
            console.log(data);
        }
    });
</script>

或者

<script>
    $.getJSON('http://apidemo.test/api/test?callback=?',function(data){
        console.log(data);
    });
</script>

或者

<script>
    $.get('http://apidemo.test/api/test',function(data){
        console.log(data);
    },'jsonp');
</script>

其實(shí)，客戶(hù)端的 jsonp 寫(xiě)法還有很多。

注：只有當(dāng)客戶(hù)端的寫(xiě)法是第一種時(shí)，才需要在客戶(hù)端顯式的的定義回調(diào)函數(shù)。

我們可以發(fā)現(xiàn)，服務(wù)器器端返回的 jsonp 數(shù)據(jù)內(nèi)容其實(shí)是：

foo({"id":1,"name":"test"})

如果客戶(hù)端寫(xiě)法不是第一種，服務(wù)器端返回的是：

jQuery21408122298865448574_1523471817778({"id":1,"name":"test"})

格式為：callback_name(json_data)

也就是說(shuō)，服務(wù)器端返回的 jsonp 其實(shí)就是：回調(diào)函數(shù)的調(diào)用，參數(shù)是我們要返回的 json 數(shù)據(jù)。

注：如果客戶(hù)端沒(méi)有顯式地指定回調(diào)函數(shù)的名稱(chēng)，會(huì)自動(dòng)生成一個(gè)隨機(jī)的名稱(chēng)，傳遞給服務(wù)器端。

JSONP 的缺點(diǎn)是只能發(fā)送 GET 請(qǐng)求。

CORS

CORS 是跨源資源分享（Cross-Origin Resource Sharing）的縮寫(xiě)。它是 W3C 標(biāo)準(zhǔn)，是跨源 AJAX 請(qǐng)求的根本解決方法。

相比 JSONP 只能發(fā) GET 請(qǐng)求，CORS 允許任何類(lèi)型的請(qǐng)求。

強(qiáng)烈推薦使用 CORS 。

CORS 需要瀏覽器和服務(wù)器同時(shí)支持。目前，所有瀏覽器都支持該功能，IE 瀏覽器不能低于 IE10。

整個(gè) CORS 通信過(guò)程，都是瀏覽器自動(dòng)完成，不需要用戶(hù)參與。瀏覽器一旦發(fā)現(xiàn) AJAX 請(qǐng)求跨源，就會(huì)自動(dòng)添加一些附加的頭信息，有時(shí)還會(huì)多出一次附加的請(qǐng)求，但用戶(hù)不會(huì)有感覺(jué)。

實(shí)現(xiàn) CORS 通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實(shí)現(xiàn)了 CORS ，就可以跨源通信。

兩種請(qǐng)求

瀏覽器將 CORS 請(qǐng)求分成兩類(lèi)：簡(jiǎn)單請(qǐng)求（simple request）和非簡(jiǎn)單請(qǐng)求（not-so-simple request）。

只要同時(shí)滿足以下兩大條件，就是簡(jiǎn)單請(qǐng)求。

（1）請(qǐng)求方法是以下三種方法之一：

• HEAD
• GET
• POST

（2）HTTP 的請(qǐng)求頭信息的特征：

• Content-Type：只限于三個(gè)值 application/x-www-form-urlencoded、multipart/form-data、text/plain
• 沒(méi)有添加自定義的請(qǐng)求頭

凡是不同時(shí)滿足上面兩個(gè)條件的請(qǐng)求，就是非簡(jiǎn)單請(qǐng)求。

瀏覽器對(duì)這兩種請(qǐng)求的處理，是不一樣的。

簡(jiǎn)單請(qǐng)求

基本流程

對(duì)于簡(jiǎn)單請(qǐng)求，瀏覽器會(huì)直接發(fā)出 CORS 請(qǐng)求。具體來(lái)說(shuō)，就是在頭信息之中，自動(dòng)增加一個(gè) Origin 字段。

下面是一個(gè)例子，瀏覽器發(fā)現(xiàn)這次跨源 AJAX 請(qǐng)求是簡(jiǎn)單請(qǐng)求，就自動(dòng)在頭信息之中，添加一個(gè) Origin 字段。

GET /api/test HTTP/1.1
Host: apidemo.test
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: */*
Origin: http://adm.test
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Referer: http://adm.test/demo
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

在這個(gè)請(qǐng)求頭中，Origin 字段用來(lái)說(shuō)明，本次請(qǐng)求來(lái)自哪個(gè)源（協(xié)議 + 域名 + 端口）。服務(wù)器根據(jù)這個(gè)值，決定是否同意這次請(qǐng)求。如果 Origin 指定的源，不在許可范圍內(nèi)，服務(wù)器也會(huì)返回一個(gè)正常的 HTTP 響應(yīng)。

HTTP/1.1 200 OK
Date: Wed, 11 Apr 2018 20:44:38 GMT
Server: Apache/2.4.23 (Win32) OpenSSL/1.0.2j mod_fcgid/2.3.9
X-Powered-By: PHP/7.0.12
Cache-Control: no-cache, private
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 59
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/json

瀏覽器發(fā)現(xiàn)，這個(gè)響應(yīng)的頭信息沒(méi)有包含 Access-Control-Allow-Origin 字段（詳見(jiàn)下文），就知道出錯(cuò)了，從而拋出一個(gè)錯(cuò)誤，被 XMLHttpRequest 的 onerror 回調(diào)函數(shù)捕獲。注意，這種錯(cuò)誤無(wú)法通過(guò)狀態(tài)碼識(shí)別，因?yàn)?HTTP 響應(yīng)的狀態(tài)碼有可能是 200。如果 Origin 指定的源在許可范圍內(nèi)，服務(wù)器返回的響應(yīng)，會(huì)多出幾個(gè)頭信息字段。

Access-Control-Allow-Origin: http://adm.test
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar

Access-Control-Allow-Origin：該字段是必須的，表示服務(wù)器允許的源。它的值要么是請(qǐng)求時(shí) Origin 字段的值；要么是一個(gè) * ，表示接受任意域名的請(qǐng)求。

Access-Control-Allow-Credentials：該字段可選。它的值是一個(gè)布爾值，表示是否允許發(fā)送 Cookie。默認(rèn)情況下，Cookie 不包括在 CORS 請(qǐng)求之中。設(shè)為true，即表示服務(wù)器明確許可，Cookie 可以包含在請(qǐng)求中，一起發(fā)給服務(wù)器。這個(gè)值也只能設(shè)為 true，如果服務(wù)器不要瀏覽器發(fā)送 Cookie，刪除該字段即可。

Access-Control-Expose-Headers：該字段可選。CORS 請(qǐng)求時(shí)，XMLHttpRequest 對(duì)象的 getResponseHeader() 方法只能拿到6個(gè)基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在 Access-Control-Expose-Headers 里面指定。上面的例子指定，getResponseHeader('FooBar') 可以返回 FooBar 字段的值。

withCredentials 屬性

上面說(shuō)到，CORS 請(qǐng)求默認(rèn)不發(fā)送 Cookie 和 HTTP 認(rèn)證信息。如果要把 Cookie 發(fā)到服務(wù)器，一方面需要服務(wù)器同意，指定 Access-Control-Allow-Credentials 字段為 true。

Access-Control-Allow-Credentials: true

另一方面，開(kāi)發(fā)者必須在 AJAX 請(qǐng)求中打開(kāi) withCredentials 屬性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否則，即使服務(wù)器同意發(fā)送 Cookie ，瀏覽器也不會(huì)發(fā)送?；蛘撸?wù)器要求設(shè)置 Cookie ，瀏覽器也不會(huì)處理。但是，如果省略 withCredentials 設(shè)置，有的瀏覽器還是會(huì)一起發(fā)送 Cookie 。這時(shí)，可以顯式關(guān)閉 withCredentials 。xhr.withCredentials = false;需要注意的是，如果要發(fā)送 Cookie ，Access-Control-Allow-Origin 就不能設(shè)為星號(hào)，必須指定明確的、與請(qǐng)求網(wǎng)頁(yè)一致的域名。同時(shí)，Cookie 依然遵循同源策略，只有用服務(wù)器域名設(shè)置的 Cookie 才會(huì)上傳，其他域名的 Cookie 并不會(huì)上傳，且（跨源）原網(wǎng)頁(yè)代碼中的 document.cookie 也無(wú)法讀取服務(wù)器域名下的 Cookie 。

簡(jiǎn)單請(qǐng)求的跨域示例

一般來(lái)說(shuō)，對(duì)于簡(jiǎn)單請(qǐng)求，我們只需在服務(wù)器端的響應(yīng)頭添加 Access-Control-Allow-Origin 字段，就可實(shí)現(xiàn)跨域。

這里，我們修改服務(wù)器端 http://apidemo.test/api/test 的代碼：

Route::get('test', function(){
    return response()->json(['id'=>1, 'name'=>'test'])
        ->header('Access-Control-Allow-Origin', 'http://adm.test');
});

這里，我們添加的響應(yīng)頭為：

Access-Control-Allow-Origin: http://adm.test

表示只允許指定域名（http://adm.test）的請(qǐng)求；如果將 Access-Control-Allow-Origin 的值設(shè)為 * ，則表示允許所有域名的請(qǐng)求。

然后，我們將客戶(hù)端網(wǎng)頁(yè) http://adm.test/demo 的代碼，改回最初的 Ajax 請(qǐng)求方式即可。

$.get('http://apidemo.test/api/test', function(data){ console.log(data) });

非簡(jiǎn)單請(qǐng)求

預(yù)檢請(qǐng)求

非簡(jiǎn)單請(qǐng)求是那種對(duì)服務(wù)器有特殊要求的請(qǐng)求，比如請(qǐng)求方法是 PUT 或 DELETE，或者 Content-Type 字段的類(lèi)型是 application/json 。

非簡(jiǎn)單請(qǐng)求的 CORS 請(qǐng)求，會(huì)在正式通信之前，增加一次 HTTP 查詢(xún)請(qǐng)求，稱(chēng)為"預(yù)檢"請(qǐng)求（preflight）。

瀏覽器先詢(xún)問(wèn)服務(wù)器，當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些 HTTP 動(dòng)詞和頭信息字段。只有得到肯定答復(fù)，瀏覽器才會(huì)發(fā)出正式的 XMLHttpRequest 請(qǐng)求，否則就報(bào)錯(cuò)。

下面是客戶(hù)端網(wǎng)頁(yè)的 JavaScript 腳本。

var url = 'http://apidemo.test/api/test';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);  // 異步的 PUT 請(qǐng)求
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();     // 將請(qǐng)求發(fā)送到服務(wù)器
xhr.onreadystatechange = function (){   // 當(dāng) readyState 的值改變時(shí)，callback 函數(shù)會(huì)被調(diào)用。
    if (xhr.readyState == 4 && xhr.status == 200){  // 如果請(qǐng)求成功，且狀態(tài)碼為 200
        console.log(xhr.response);
    }
}

上面代碼中，HTTP 請(qǐng)求的方法是 PUT，并且發(fā)送一個(gè)自定義頭信息X-Custom-Header。

瀏覽器發(fā)現(xiàn)，這是一個(gè)非簡(jiǎn)單請(qǐng)求，就自動(dòng)發(fā)出一個(gè)"預(yù)檢"請(qǐng)求，向服務(wù)器確認(rèn)可以這樣請(qǐng)求。下面是這個(gè)"預(yù)檢"請(qǐng)求的 HTTP 頭信息。

OPTIONS /api/test HTTP/1.1
Host: apidemo.test
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Access-Control-Request-Method: PUT
Origin: http://adm.test
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Access-Control-Request-Headers: x-custom-header
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

"預(yù)檢"請(qǐng)求用的請(qǐng)求方法是 OPTIONS ，表示這個(gè)請(qǐng)求是用來(lái)詢(xún)問(wèn)的。頭信息里面，關(guān)鍵字段是 Origin ，表示請(qǐng)求來(lái)自哪個(gè)源。

除了 Origin 字段，"預(yù)檢"請(qǐng)求的頭信息包括兩個(gè)特殊字段。

Access-Control-Request-Method：該字段是必須的，用來(lái)列出瀏覽器的 CORS 請(qǐng)求會(huì)用到哪些 HTTP 方法，上例是 PUT 。

Access-Control-Request-Headers：該字段是一個(gè)逗號(hào)分隔的字符串，指定瀏覽器 CORS 請(qǐng)求會(huì)額外發(fā)送的頭信息字段，上例是 X-Custom-Header 。

預(yù)檢請(qǐng)求的響應(yīng)

服務(wù)器收到"預(yù)檢"請(qǐng)求以后，檢查了 Origin、Access-Control-Request-Method 和 Access-Control-Request-Headers 字段以后，確認(rèn)允許跨源請(qǐng)求，就會(huì)做出響應(yīng)。

假如我們的服務(wù)器端響應(yīng)頭的配置正確，如下：

Access-Control-Allow-Origin: http://adm.test
Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS
Access-Control-Allow-Headers: X-Custom-Header

得到的響應(yīng)為：

HTTP/1.1 200 OK
Date: Thu, 12 Apr 2018 05:44:04 GMT
Server: Apache/2.4.23 (Win32) OpenSSL/1.0.2j mod_fcgid/2.3.9
X-Powered-By: PHP/7.0.12
Cache-Control: no-cache, private
Access-Control-Allow-Origin: http://adm.test
Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS
Access-Control-Allow-Headers: X-Custom-Header
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 59
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/json

如果服務(wù)器否定了"預(yù)檢"請(qǐng)求，也會(huì)返回一個(gè)正常的 HTTP 回應(yīng)，但是缺少 CORS 相關(guān)的頭信息字段。這時(shí)，瀏覽器就會(huì)認(rèn)定，服務(wù)器不同意預(yù)檢請(qǐng)求，因此觸發(fā)一個(gè)錯(cuò)誤，被 XMLHttpRequest 對(duì)象的 onerror 回調(diào)函數(shù)捕獲。控制臺(tái)會(huì)打印出如下的報(bào)錯(cuò)信息。

Failed to load http://apidemo.test/api/test: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

服務(wù)器回應(yīng)的 CORS 相關(guān)字段的示例和說(shuō)明：

Access-Control-Allow-Origin: http://adm.test
Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

Access-Control-Allow-Origin：該字段與簡(jiǎn)單請(qǐng)求時(shí)的含義相同。

Access-Control-Allow-Methods：該字段必需，它的值是逗號(hào)分隔的一個(gè)字符串，表明服務(wù)器支持的所有跨域請(qǐng)求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請(qǐng)求的那個(gè)方法。這是為了避免多次"預(yù)檢"請(qǐng)求。

Access-Control-Allow-Headers：如果瀏覽器請(qǐng)求包括 Access-Control-Request-Headers 字段，則 Access-Control-Allow-Headers 字段是必需的。它也是一個(gè)逗號(hào)分隔的字符串，表明服務(wù)器支持的所有頭信息字段，不限于瀏覽器在"預(yù)檢"中請(qǐng)求的字段。

Access-Control-Allow-Credentials：該字段與簡(jiǎn)單請(qǐng)求時(shí)的含義相同。

Access-Control-Max-Age：該字段可選，用來(lái)指定本次預(yù)檢請(qǐng)求的有效期，單位為秒。上面結(jié)果中，有效期是20天（1728000秒），即允許緩存該條回應(yīng)1728000秒（即20天），在此期間，不用發(fā)出另一條預(yù)檢請(qǐng)求。

正常請(qǐng)求和回應(yīng)

一旦服務(wù)器通過(guò)了"預(yù)檢"請(qǐng)求，瀏覽器就會(huì)繼續(xù)發(fā)送正常的 CORS 請(qǐng)求。

PUT /api/test HTTP/1.1
Host: apidemo.test
Connection: keep-alive
Content-Length: 0
Pragma: no-cache
Cache-Control: no-cache
Origin: http://adm.test
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
X-Custom-Header: value
Accept: */*
Referer: http://adm.test/demo
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

非簡(jiǎn)單請(qǐng)求的跨域示例

一般來(lái)說(shuō)，非簡(jiǎn)單請(qǐng)求要想實(shí)現(xiàn)跨域，只需在服務(wù)器端添加 Access-Control-Allow-Origin 和 Access-Control-Allow-Methods，這兩個(gè)響應(yīng)頭即可。

但是，假如客戶(hù)端想要發(fā)送自定義的請(qǐng)求頭，比如 API 認(rèn)證的 token 信息。

Authorization: Bearer token01pokwljgh

或者 CSRF 令牌。

X-CSRF-TOKEN: pohhhhjkhljgugyug4654

注：上面兩個(gè)請(qǐng)求頭，是請(qǐng)求 API 接口時(shí)，常用到的字段。

那么，服務(wù)器端的響應(yīng)就還需要添加 Access-Control-Allow-Headers 字段。

下面是一個(gè)具體的示例：

客戶(hù)端網(wǎng)頁(yè) http://adm.test/demo 的代碼：

<script>
    $.ajax({
        url: 'http://apidemo.test/api/test',
        type: 'put',
        dataType: 'json',
        headers: {
            'Authorization': 'Bearer token01pokwljgh',
            'X-CSRF-TOKEN': 'pohhhhjkhljgugyug4654'
        },
        success: function(data){
            console.log(data);
        }
    });
</script>

服務(wù)器端 http://apidemo.test/api/test 的代碼：

Route::any('test', function(\Illuminate\Http\Request $request){
    $data = ['id'=>1, 'name'=>'test'];
 
    // 獲取請(qǐng)求頭中字段的值
    $api_token = $request->header('Authorization');
    $csrf_token = $request->header('X-CSRF-TOKEN');
 
    $data['api_token'] = $api_token;
    $data['csrf_token'] = $csrf_token;
 
    return response()->json($data)
        ->header('Access-Control-Allow-Origin', 'http://adm.test')
        ->header('Access-Control-Allow-Methods', 'GET, POST, PUT, OPTIONS')
        ->header('Access-Control-Allow-Headers', 'Authorization, X-CSRF-TOKEN');
});

跨域成功后，控制臺(tái)的打印結(jié)果為：

{id: 1, name: "test", api_token: "Bearer token01pokwljgh", csrf_token: "pohhhhjkhljgugyug4654"}

CORS VS. JSONP

• CORS 和 JSONP，都能實(shí)現(xiàn) Ajax 的跨域請(qǐng)求，但 CORS 更強(qiáng)大。
• JSONP 的優(yōu)勢(shì)在于支持老式瀏覽器，以及可以向不支持 CORS 的網(wǎng)站請(qǐng)求數(shù)據(jù)。
• JSONP 只支持 GET 請(qǐng)求，CORS 支持所有類(lèi)型的 HTTP 請(qǐng)求。

推薦優(yōu)先使用 CORS。

--------------------- 本文來(lái)自 lamp_yang_3533 的CSDN 博客 ，全文地址請(qǐng)點(diǎn)擊：https://blog.csdn.net/lamp_yang_3533/article/details/79944441?utm_source=copy